Subdirección de Seguridad de la Información Auditoría de Seguridad Informática Introducción • Auditoría • La funcion de medir algo en comparación con un estándar • La.

Transcript Subdirección de Seguridad de la Información Auditoría de Seguridad Informática Introducción • Auditoría • La funcion de medir algo en comparación con un estándar • La.

Slide 1

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 2

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 3

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 4

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 5

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 6

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 7

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 8

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 9

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 10

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 11

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 12

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 13

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 14

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 15

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 16

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 17

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 18

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 19

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 20

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 21

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 22

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 23

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 24

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 25

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 26

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 27

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 28

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 29

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 30

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 31

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 32

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 33

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 34

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 35

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 36

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 37

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 38

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 39

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 40

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 41

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 42

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 43

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 44

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 45

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 46

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 47

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 48

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 49

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 50

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 51

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 52

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 53

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 54

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 55

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 56

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 57

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 58

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 59

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 60

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 61

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 62

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 63

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 64

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 65

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 66

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 67

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 68

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 69

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 70

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 71

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 72

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 73

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 74

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 75

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 76

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 77

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 78

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 79

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 80

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 81

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 82

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 83

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 84

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 85

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 86

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 87

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 88

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 89

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 90

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 91

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 92

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 93

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 94

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 95

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 96

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 97

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 98

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 99

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 100

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 101

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 102

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 103

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 104

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 105

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 106

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 107

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 108

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 109

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 110

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 111

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 112

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 113

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 114

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 115

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 116

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 117

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 118

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 119

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 120

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 121

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 122

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 123

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 124

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 125

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 126

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 127

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 128

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 129

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 130

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 131

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

• Ejemplo
• Select cliente_key from
clientes where
telefono=5512341221
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

Auditoría de Seguridad Informática

WHERE
• Caracteres
• =
• <> o !=
• >

• <
• >=
• <=

• Select * from clientes
where nombre like ‘M%’
• Select * from clientes
where cliente_key > 2
• Select * from clientes
whre cliente_key > 2 OR
apellido = “Becerril”

• IN
• BETWEEN
• LIKE
• AND
• OR

Auditoría de Seguridad Informática

Otros comandos para manipulación de
datos

• UPDATE

• Modifica datos

• INSERT INTO
• Agrega datos

• DELETE
• Borra datos

• Ejemplo
• Insert into clientes values (4, ‘Ruben’, ’Aquino’,
’5527123912’)
cliente_key

Nombre

Apellido

Telefono

1

Israel

Lopez

5512341221

2

Carlos

Rosales

5512341221

3

Juan

Becerril

5512341221

4

Ruben

Aquino

5527123912

Auditoría de Seguridad Informática

ORDER BY y GROUP BY
• ORDER BY
• Select nombre from clientes ORDER BY apellido,
nombre

• GROUP BY
• Select cliente_key, SUM(cantidad) FROM ordenes
GROUP BY cliente_key

Auditoría de Seguridad Informática

Permisos
• GRANT
• Otorga permisos de sistema

• DENY
• Niega permisos de sistema

• REVOKE
• Revoca un permiso otorgado, o un permiso negado

Auditoría de Seguridad Informática

Auditando bases de datos
• Ejemplos para ORACLE
• Los conceptos aplican para todas las bases de datos
• Algunos comandos SQL son especificos de ORACLE

Auditoría de Seguridad Informática

Escenario
• Nos encontraremos con aplicaciones compuestas de 3
capas
• Capa de aplicación
• SAP, PeopleSoft
• PHP, .Net, Web

• Capa de base de datos
• Oracle
• Sybase

• MSSQL Server

• Sistema operativo
• Windows
• Unix
• Solaris

Auditoría de Seguridad Informática

Checklist básico
• ¿El password del dba esta protegido?

• ¿Las restricciones de administración
(ADMIN_RESTRICTIONS) estan establecidas?
• ¿La generación de bitácoras en las transacciones esta
habilitada?

Auditoría de Seguridad Informática

Autenticación
• Metodos de autenticación en Oracle
• Autenticación en la base de datos
• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server
• Autenticación en modo Windows NT
• Integrado con el sistema operativo
• Conexión confiable

• Modo mixto
• Autenticación en el servidor de SQL
• Conexiones no confiales
• ¿por qué?
• Compatiblidad con otras versiones
• Soporte para clientes windows de otras versiones atrás
• Requerido para conexiones desde internet
Auditoría de Seguridad Informática

Usuarios y roles
• Verificar que solo los usuarios apropiados tienen
acceso
• Verificar que los usuarios sean eliminados (ex
empleados)
• Verificar que cada usuario tenga un ID diferente
• Verificar que ciertos equipos “confiables” puedan
conectarse a la base de datos

• Verificar que los roles sean apropiados
• ORACLE
• Select * FROM dba_users

• Select * from dba_roles
Auditoría de Seguridad Informática

Otras cosas a considerar
• Politicas y procedimientos
• Parches

• Sistema operativo
• Archivos instalados
• Privilegios del servicio y procesos
• Seguridad fisica
• Control de cambios
• Recuperación de desastres
• Separación de ambientes
• Producción
• Pruebas
• Desarrollo

• Scripts para la administración

• Respaldos
Auditoría de Seguridad Informática

SISTEMAS DE GESTIÓN DE LA
INFORMACIÓN
Auditoría de Seguridad Informática

Sistema de gestión de Seguridad de la
Información
• El SGSI, Sistema de Gestión de Seguridad de la
Información, es el concepto central sobre el que se
construye la norma ISO 27001.
• proporciona el aseguramiento de la confidencialidad,
integridad y disponibilidad de la información de las
organizaciones

• Se crea y se mantiene por medio de un proceso
sistemático, documentado y conocido por toda la
organización.
• Este proceso es lo que establece un SGSI como
auditoría.

Auditoría de Seguridad Informática

Auditoría de un SGSI
• Una investigación sistémica de la intención, la
implementación y la efectividad de aspectos
seleccionados del sistema de gestión de una
organización, división o departamento.
• Se realizan las auditorías contra procedimientos
escritos o formales con reportes y registros formales

Auditoría de Seguridad Informática

Etapas de la auditoría
1. Auditoría de intención o de adecuación
• El auditor necesita información de la organización que
explique la forma en que cumplen con la norma.
• Esta evidencia puede presentarse en la forma de un
manual SGSI que debe evaluar el auditor para ver si el
sistema delineado en el documento cumple con la
norma.

2. Auditoría de cumplimiento o implementación
•

El auditor necesita visitar a la organización y
determinar el grado al cual la práctica real cumple con
el manual.

Auditoría de Seguridad Informática

Etapas de la auditoría
3. Evaluación de efectividad
• Todos los hallazgos de la auditoría se registran y
analizan para evaluar el grado al cual el Sistema de
Gestión de Seguridad de la Información logra los
objetivos declarados.

• No es posible auditar cada actividad, cada documento
de manera individual
• La auditoría, por tanto, sólo puede examinar aspectos
seleccionados.
• La auditoría es un ejercicio de muestro y se debe
reconocer por aquellos que realizan la auditoría y por
aquellos a quienes se les aplicará la auditoría en
cuestión
Auditoría de Seguridad Informática

Tipos de auditoría
• Existen dos tipos básicos, subdivididos aun más de
conformidad con los diferentes énfasis y objetivos. Los
dos tipos son auditorías externas y auditorías internas.

Auditoría de Seguridad Informática

Tipos de auditoría
• Tercera parte
• Se llevan a cabo por organizaciones independientes
externas. Tales organizaciones proporcionan la
certificación o el registro de conformidad con la
norma ISO 27001.
• Segunda parte
• Se llevan a cabo por partes que tienen un interés en
la organización, tal como los clientes, o por otras
personas en su nombre.
• Primera parte
• Son aquellas que realiza una organización en sí
misma para confirmar a la dirección que su sistema
de gestión está funcionando de manera efectiva.
Auditoría de Seguridad Informática

Certificación
• Un SGSI es implementado principalmente para
permitir a la propia organización tener una visión
sistémica de la seguridad de la información,
basándose en uno o más estándares internacionales
• Certificarse significa
• Adherirse a un estándar de referencia (ISO/IEC
27001:2005 O UNE-ISO/IEC 27001:2007).
• Analizar, interpretar e implementar lo requerido por el
estándar.
• Demostrar la conformidad con el estándar por medio de
evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido
en materia de seguridad de la información.

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Proceso de certificación

Auditoría de Seguridad Informática

Etapa 1. Revisión documental
• La valoración del sistema documental de la
organización(requisito 4.3.1):
•
•
•
•
•
•
•
•

Alcance de la certificación.
Análisis y gestión de riesgos.
Inventario activos.
Declaración de aplicabilidad (SoA, Statement of Aplicability).
Manual, políticas de seguridad.
Procedimientos de seguridad que se consideren oportunos.
Evaluar ubicaciones.
Evaluar grado de comprensión del sistema de gestión,
conocimiento del personal.
• Auditorías internas y revisión por parte de la dirección.
• Revisión de aspectos legales.
Auditoría de Seguridad Informática

Revisión documental
• El resultado se integra en un informe que contiene los
puntos fuertes y debiles del SGSI
• No se puede avanzar si hay resultados negativos
• Falta de documentación
• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2
• Redacción del plan
• Agenda de las auditorías

Auditoría de Seguridad Informática

Etapa 2. Auditoría de certificación
• El equipo de auditoría valora la conformidad y eficacia
del SGSI de la misma organización
• Se realiza un muestreo
• Se evaluan actividades de la organización para
identificar la capacitad en la toma de desiciones y la
eficacia del SGSI
• Entrevistas con el staff, incluyendo la dirección
• Se revisan la información y pruebas recopiladas
• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y
las opciones de mejora
• Además de cualquier no conformidad
Auditoría de Seguridad Informática

Auditoría de certificación
• En caso de existir no conformidades se deben corregir
las anomalias encontradas
• En caso de no tener no conformidades, se recibe el
certificado ISO/IEC 27001:2005
• Para las actividades citadas en el campo de aplicación
• Solo en este momento se puede decir que se tiene un
SGSI certificado
• El tiempo de la emisión del certificado varia entre
entidades certificadoras

Auditoría de Seguridad Informática

Etapa 3. Visitas de seguimiento
• Se programan visitas cada determinado tiempo para
verificar la eficacia del SGSI
• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el
SGSI
• Se mantiene
• Esta en funcionamiento
• Tiene una mejora continua

Auditoría de Seguridad Informática

Proceso de auditoría del SGSI
• Desarrollo del plan
• Se define el objetivo de la auditoría
• P.e. Evaluar a la compañía en cuanto a su grado de

cumplimiento con el Sistema de Gestión de Seguridad de
la Información.

• Se define el alcance de la auditoría
• Se determinan las áreas, procesos, productos, servicios,
etc. que se quieran revisar más a detalle, o donde se
reflejarán los esfuerzos requeridos.
• Para las auditorías de segunda parte, el alcance lo decide
el cliente de la organización

Auditoría de Seguridad Informática

Desarrollo del plan
• Se nombra a la persona lider del equipo de auditoría
• Es su responsabilidad
• La planeación
• Realización
• Reporte de auditoría

• Recibe información sobre
• Objetivos
• Alcance

• Determina
• Dias de personal
• Personal requerido
• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar
• Determinar tamaño
• Gama de productos
• Nombres, domicilios, contactos

Auditoría de Seguridad Informática

Desarrollo del plan
• El lider organiza una junta preliminar en el sitio donde
tendrá lugar la auditoría
• Con el objeto de
• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse
durante la auditoría.
• Resolver los malos entendidos.

Auditoría de Seguridad Informática

Programa de auditoría
• El auditor hubiere recibido un ejemplar de su manual
SGSI.
• Este manual contiene el proceso dentro del Sistema de
Gestión de la Información de la organización y la
interacción del proceso descrito.

• A partir de este documento el líder del equipo de
auditores deberá elaborar un programa de auditoría,
detallando el departamento/proceso a ser auditado y en
qué día y a qué hora.
• El programa también identificará al auditor asignado a
cada departamento/proceso.

Auditoría de Seguridad Informática

Preparación de checklists
• La compañía que conduce la auditoría por lo general
define el formato de la lista de verificación.
• Ejemplo
• Área auditada Ventas – Proceso de solicitudes de
pedidos
• Revisar: Elaboración de una solicitud de pedidos.
• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se
incluya.
• Buscar: Registros de revisión de los productos.
• Buscar: Registros que autoricen la aceptación de los
pedidos.
Auditoría de Seguridad Informática

Preparación de checklists
• Un buena guía para la preparación de las listas de
verificación es pensar en términos de “qué revisar” y
“qué buscar”. Se podría revisar
• Métodos de identificación, aprobaciones, etc.
• Documentos, registros, producto o equipo para
determinar si se aprobaron, si la documentación
está completa y concluir sobre su condición.
• Sistema de auditorías internas y buscar documentos
de sus autoridad, capacitación de los auditores,
medidas oportunas sobre los hallazgos,
seguimiento, etc.
Auditoría de Seguridad Informática

Ventajas del uso de checklists
• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.
• Requiere de investigación.
• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.
• Referencia histórica como registro de auditoría (reporte).
• Reduce la carga de trabajo del auditor durante la auditoría.
• Le asegura al auditado el profesionalismo del auditor.
• Asegura que los auditores tengan el proceso en mente.

Auditoría de Seguridad Informática

Desventajas
• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.
• Si hay algo que no se haya incluido en la lista de
verificación no se revisa

• Trunca la iniciativa y el análisis del proceso

Auditoría de Seguridad Informática

Actividades de la auditoría
• La realización de auditoría se conforma de varios
eventos diferentes y se tratará cada uno de ellos por
separado:
• Junta de apertura.
• Conducción de la auditoría.
• Registro de los hallazgos positivos y negativos.
• Planeación de la junta de cierre.
• Junta de cierre.

Auditoría de Seguridad Informática

Junta de apertura
• Se conoce como referencia previa a la auditoría o
junta inicial, por lo general se realiza en el lugar dónde
se llevará a cabo la auditoría.
• El equipo de auditoría esta preparado con la agenda
donde
• Se asegura que se cubran todos los puntos necesarios
de manera rápida y eficiente

Auditoría de Seguridad Informática

Junta de apertura
• Presentación del personal
• El lider de auditoría presenta al equipo de auditoría y explica
como estan organizados

• Revisión del programa de auditoría
• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias
• Se definen los guias que acompañaran al equipo de auditoría
durante el proceso

• Logistica
• Se busca cubrir todos los preparativos
• El transporte, ropa especial, comida y oficina para los auditores. Se deben
confirmar las comidas
• En las mismas instalaciones o una comida externa de poca duración.

Auditoría de Seguridad Informática

Junta de apertura
• Aclaraciones
• Se realizan comentarios por parte de los auditados

• Métodos de reporte
• El lider explica como se documentan las no
conformidades y como se presenta el reporte de
auditoría

• Confidencialidad
• La auditoría tiene carácter confidencial para ambas
partes. Lo mismo para cualquier información que pueda
surgir antes, durante y después de la auditoría. Esta
confidencialidad es obligatoria para los auditores de
tercera parte.
Auditoría de Seguridad Informática

Junta de apertura
• Restricciones
• A pesar de que cualquier restricción mayor por lo
general se les indica a los auditores en la etapa de
planeación, tal vez sea necesario confirmarlas y
aclararlas en este momento.
• Estas restricciones incluyen áreas limpias/peligrosas a
donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la
auditoría es una actividad de muestreo y está sujeta a
esas limitaciones
• “Esta evaluación se basa en las muestras
representativas y por lo tanto, es posible que existan no
conformidades que no se hayan identificado”.

•

Auditoría de Seguridad Informática

Conducción de la auditoría
• Intervienen las siguientes personas
• El líder del equipo y el otro auditor
• El guía
• El/la representante de la gerencia

• El personal de las áreas que se están auditando
• Los observadores que acompañan al grupo de auditoría
(tal vez auditores en capacitación de la organización de
los auditores o auditados o un auditor que audita al
auditor)
• El/la intérprete (si la auditoría es en un país del cual los
auditores no hablan el idioma
Auditoría de Seguridad Informática

Control de auditoría
• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada
momento
• Se busca el respaldo en documentación para toda la
evidencia obtenida verbalmente

Auditoría de Seguridad Informática

Conducción de la auditoría
• Toma de datos
• Se registra información para emitir un juicio informado
en base a las notas que contengan hechos
considerables
• Se reben tomar notas de las referencias de los
documentos, comentarios (quién los dijo), preguntas
relevantes, etc.
• Cada auditor determina el formato de las notas y el
medio para tomarlas

Auditoría de Seguridad Informática

Conducción de la auditoría
• Entrevistas
• Se hace uso de las habilidades de comunicación del
auditor
• Su principal fuente de información es la realización de
preguntas

• Se debe entrevistar a la gente correcta
• La gente que tiene control sobre el aspecto del sistema que
se esta auditando
• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados
por su ayuda y tiempo
• No obstante si fue benéfico o no
Auditoría de Seguridad Informática

Conducción de la auditoría
• Verificación
• Los auditores revisan la forma en que se controlan los
procesos del alcance
• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias
• Las muestras pueden ser personas

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• A medida que procede la auditoría, pueden surgir
situaciones donde los hechos indican que existe una
falla ya sea de todo o parte del sistema
• ¿Qué es una no conformidad?
• Una condición adversa a la Seguridad de la Información
• Un incumplimiento de un requisito
• Condiciones de un contrato
• Norma SGSI
• Manual SGSI
• Procedimientos o instrucciones de trabajo
Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Habrá una no conformidad por una de tres razones:
• El procedimiento escrito no cumple con los requisitos de
la norma;
• El procedimiento escrito no se ha puesto en práctica en
la forma descrita por el procedimiento;
• La práctica (lo que de hecho se hace) no es efectiva, es
decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un
formato que puedan entender tanto las personas en la
auditoría como aquellos que no están en ella.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• Declaración de no conformidad debe incluir
• Observación exacta de los hechos
• Donde se encontró
• Qué fue lo que se encontró

• Por qué es una no conformidad
• Quién estuvo ahí
• Usar terminología local que entienda el auditado

• Ejemplo
• El procedimiento XXXX Control de documento versión
2.3.2 tenía como última fecha de revisión el 25 de enero
de 2010, pero en la lista maestra XXXX versión 1.1.5 se
encontraba registrada con fecha 15 de enero de 2010.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• La mayoría de los organismos de certificación
clasifican las no conformidades como NO
CONFORMIDAD MENOR o MAYOR, y tienen sus
propios criterios definidos para cada una.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MAYOR – Una interrupción en el
sistema de gestión para controlar eficazmente los
procesos para los cuales se estableció
• Una situación donde se presente una duda importante
respecto de la capacidad del sistema de gestión para
lograr la política y objetivos de la organización.

Auditoría de Seguridad Informática

Registro de hallazgos positivos y negativos
• NO CONFORMIDAD MENOR – Un lapso simple
identificado, que en sí no es conducente ya sea a
productos o servicios suministrados no conformes, o
presenten duda importante respecto de la capacidad
del sistema de gestión para lograr la política y
objetivos de la organización.

Auditoría de Seguridad Informática

Planeación de junta de cierre
• Inmediatamente después de que se termina el proceso
de auditoría se debe realizar una junta del equipo de
auditoría
• Con el objetivo de que el líder del equipo pueda planear
en detalle la junta de cierre y se asegure de que el
equipo sepa lo que se va presentar a la compañía en
forma de no conformidades y resumen
• Controla el líder del equipo.
• Solo está presente el equipo de auditoría.
• El equipo llena reportes de problemas/no
conformidades.
• Revisión del equipo de todos los problemas/no
conformidades.
• El líder del equipo elabora el reporte de auditoría.
Auditoría de Seguridad Informática

Planeación de junta de cierre
• El líder del equipo también elabora una agenda para la
junta de cierre
• Hace los arreglos, ya sea mediante un integrante del
equipo o una guía, para que se entreguen copias de
cada problema/no conformidad para que se entreguen
a la dirección de la compañía en el momento oportuno.

Auditoría de Seguridad Informática

Junta de cierre
• Es la junta de conclusión de la auditoría y es la
presentación formal por parte del equipo de los
hallazgos y conclusiones de la auditoría.
• En la medida en que la dirección del auditado
comprenda los hallazgos y esté de acuerdo con los
hechos que los rodean antes de que el equipo se
retire, el líder del equipo y el equipo habrán cumplido
con su tarea.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• El reporte de una auditoría externa debe ofrecer un
registro claro de los objetivos, alcance, hallazgos y
conclusiones de la auditoría.
• Es el principal resultado del proceso de auditoría
proceso el cual leerán y utilizarán personas que no
estuvieron en la auditoría y que no tienen otra
información sobre la misma.
• Debe ofrecer una imagen equilibrada de toda la
auditoría, no sólo de las no conformidades encontradas.

Auditoría de Seguridad Informática

Preparar, aprobar y distribuir el informe de
auditoría
• Los siguientes son esencialmente puntos que deben
abordarse en un reporte de auditoría:
• Nombres y cargos de los auditados
• Programa de auditoría

• No conformidades menores y mayores
• Sugerencias
• Aprobación

Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Las no conformidades se abordan mediante un plan de
acción correctiva, que se somete a la aprobación del
auditor
• El auditado debe garantizar que la acción correctiva
sea efectiva y algún tipo de monitoreo (puede ser
mediante verificaciones adicionales o mediante las
auditorías internas propias de la compañía) para
garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos
de la auditoría y las no conformidades escritas.
• Podría tardarse hasta 28 días después de la auditoría
recibir el reporte.
Auditoría de Seguridad Informática

Conducir el seguimiento de la auditoría
• Un resumen del proceso de seguimiento es el
siguiente:
• Identificación de no conformidades encontradas durante
la auditoría;
• Elaboración de reporte resumido;
• Petición de acción correctiva emitida;
• El auditor evalúa la respuesta a la acción correctiva;
• Realización de la acción correctiva por parte del
auditado;
• Evaluación de la efectividad por parte del auditado;
• Verificación de realización por parte del auditor;
• Escalamiento (en su caso);
• Registros de cada etapa en este proceso.
Auditoría de Seguridad Informática

Accion correctiva
• La responsabilidad del auditor es dejarle claro al auditado que
es necesario tomar acción correctiva.
• El auditor rara vez especifica la acción correctiva; esa es tarea
del auditado. El auditado debe proponer la acción correctiva.
• Las características esenciales de la acción correctiva son las
siguientes:
• Identificación de la no conformidad;
• Establecer responsabilidad para controlar el proceso pertinente;
• Recopilar datos para establecer la causa raíz para la no
conformidad;
• Analizar los datos y establecer acciones correctivas y preventivas;
• Monitorear la efectividad de esta acción, incluyendo auditoría
interna;
• Revisar la acción si no es eficaz;
• Registrar todas las acciones tomadas;
• Enmendar según sea necesario la documentación del sistema.
Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Gracias

Slide 132

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática

Introducción
• Auditoría
• La funcion de medir algo en comparación con un
estándar

• La auditoría es efectiva si se aplica a:
• Politicas
• Procedimientos
• Sistemas

• Hay auditoría de todos colores y sabores
• La mas común en TI es la de alineación

Auditoría de Seguridad Informática

Auditoría de alineación o cumplimiento
• Consiste en medir que tan bien un sistema o proceso
se alinea con las políticas y/o procedimientos que han
sido definidos en la organización
• La auditoría busca contestar la pregunta
• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:
• La implementación de la Política de Seguridad
• ¿Cómo sabe si es efectiva?
• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)
• ¿Cómo sabe si realmente protege a la organización?
Auditoría de Seguridad Informática

Resumen
• No importa lo que una
organización haga para
protegerse, se debe de
preguntar:
• ¿Cómo sabes si..?

• Los auditores contestan
esta pregunta por medio
de la validación.

Auditoría de Seguridad Informática

Objetivo de la auditoría
• Medir y reportar sobre el
riesgo.
• El auditor ha sido
autorizado por la
administración para
realizar preguntas difíciles
sobre la organización,
• Después de medir el
riesgo, los auditores
realizan un reporte sobre
con los hallazgos
• Ahora la administración
puede actuar.
Auditoría de Seguridad Informática

Objetivo Secundario
• Incrementar la
concientización.
• El auditor se apoya de la
concientización de la
administración para que
los riesgos puedan ser
reducidos.
• Si la administración no
quisiera reducir los riesgos,
no tendrían un auditor en
primer instancia.

Auditoría de Seguridad Informática

Conceptos
• Existen algunas
definiciones con las
cuales un auditor debe
estar familiarizado
• Evaluación

• Alcance
• Objetivos
• Controles

• Remediación
• No conformidades
• Mitigación

• Causa raíz
Auditoría de Seguridad Informática

Evaluación
• Típicamente, se utilizan evaluaciones para medir el
cómo una auditoría alcanzo sus objetivos
• Que tan efectiva fue la auditoría
• Que tan bien se aseguro un sistema y como
consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones
• Que hacer para mejorar el estado de seguridad deseado
de un sistema, sistemas o procesos
• ¿Cómo logramos saber si es sistema fue asegurado?
• Por medio de la evaluación.

Auditoría de Seguridad Informática

Alcance de una auditoría
• Es identificar claramente
qué es lo que vamos a
auditar.
• También llamada la
entidad a auditar
(Auditable Entity).

• Una vez definido
• El auditor se acerca a los
individuos que estarán en
la mejor posición para
entender que objetivos
buscan cumplir sus:
• Políticas y procedimientos

• ¿Qué alcance las medirá
de una mejor manera?
Auditoría de Seguridad Informática

Objetivos
• El auditor debe
familiarizarse con 2
objetivos
• La auditoría por sí misma
tiene un objetivo

• Las políticas,
procedimientos y sistemas
tienen objetivos también

• El primero es lo que
esencialmente estamos
buscando lograr o medir
a través del proceso de
auditoría
Auditoría de Seguridad Informática

Objetivos
• Tan simple como un intento de medir si un sistema ha
sido comprometido al comparar una configuración
base conocida del sistema
• O tan complejo como medir que tan alineada esta una
organización a una serie de políticas y procedimientos.

Auditoría de Seguridad Informática

Objetivo de políticas
• Lo que la política o procedimiento esta supuesto a
cumplir o lograr. Por ejemplo:
• “Todos los usuarios deben autenticarse en un sistema
con su propio nombre de usuario y contraseña”
• ¿Cuál es el objetivo de esta política?

Auditoría de Seguridad Informática

Objetivos
• Primero, la política busca diferenciar a todos los
usuarios en un sistema de manera única.
• Segundo, esta política requiere que a todos los nuevos
usuarios se les proporciones un nombre de usuario y
contraseña, en un tiempo considerable,
• De manera implícita en el objetivo, todos los usuarios
deben tener un nombre de usuario y contraseña cuando
lo necesiten.

• Si estamos realizando una evaluación con una
solución de análisis de vulnerabilidades
• Nuestro objetivo es identificar vulnerabilidades en la
infraestructura de la organización.
Auditoría de Seguridad Informática

La importancia de los objetivos
• La definición de los
objetivos y alcance, no
necesita tomar mucho
tiempo
• Sirve para proteger la
infraestructura a evaluar
• Al mismo tiempo que evita
que el auditor mismo tenga
problemas durante el
proceso de auditoría.

Auditoría de Seguridad Informática

Controles
• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior
“Todos los usuarios deben autenticarse en un sistema con su
propio nombre de usuario y contraseña”
• ¿Qué políticas pueden ayudarnos a cumplir con este
objetivo?
• Un proceso de administración de usuarios no basta
• Usuarios utilizando cuentas de otras personas
• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:
• Utilización de tarjetas inteligentes o tokens
• Uso de dispositivos biométricos para el inicio de sesión
Auditoría de Seguridad Informática

No conformidades o excepciones
• Es simplemente algo que
no cumplió los objetivos
que fueron establecidos
por medio de
• Políticas y procedimientos

• Que fue identificado
durante el proceso de
auditoría

Auditoría de Seguridad Informática

Remediación
• Una vez que
encontramos una no
conformidad
• Dar una recomendación de
alguna forma de
remediación.
• Si la no conformidad que
ha sido identificada fue que
las cuentas de usuario no
están siendo eliminadas
cuando los empleados
dejan de trabajar en la
organización
• la remediación será remover
estas cuentas.

Auditoría de Seguridad Informática

Mitigación
• En ocasiones no será posible eliminar o remediar un
problema.
• Tendremos que admitir que no podremos eliminar un
riesgo o amenaza en particular
• Debido a cómo la tecnología o proceso es utilizada en la
organización.

• Cuando esto ocurre, debemos de mitigar el riesgo
creado como consecuencia del uso de ese proceso o
tecnología en la organización.

Auditoría de Seguridad Informática

Causa Raíz
• Una parte importante de la auditoría es identificar la
causa raíz de las no conformidades
• Enfocarse lo que realmente sale mal y no en lo que significa la
no conformidad

• Si llegamos al doctor con una fractura en el brazo, no
nos recetarán una pastilla para el dolor, si no que el
doctor revisará el brazo para identificar la gravedad de
la fractura
• De lo contrario el doctor nunca identificará la causa raíz
del dolor.

Auditoría de Seguridad Informática

Auditoría por medio de estandares
• Los estándares son muy populares dentro de algunas
organizaciones porque pareciera que todo el trabajo
duro ya esta hecho,
• Lo único que resta es implementar algunos controles
para estar seguros.

• Para algunas organizaciones, los estándares son
vistos como obstáculos
• Estándares mas comunes
• ISO27001
• SOX
• PCI DSS
Auditoría de Seguridad Informática

Auditoría por medio de Baselines
• Uno de los mejores métodos de auditoría mas común
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor
pueda confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.

Auditoría de Seguridad Informática

Checklists
• Una de las principales herramientas del auditor es el
checklist.
• Los estándares son una excelente referencia para los
checklist.
• Las mejores practicas o estándares generalmente están
organizados por una lista de controles que deberían ser
implementados para proveer seguridad a la
organización.
• El estándar mismo se convierte en un checklist de alto
nivel.

• En ocasiones algunas organizaciones pueden tener
checklist que sufren del mismo problema que las
políticas, son muy vagas, sin alcance y no están
basadas en alguna referencia internacional.
Auditoría de Seguridad Informática

Ejercicio - Checklist
• Compare un checklist con una mejor practica
• Con ayuda del profesor y utilizando el material que le
proporcione el profesor

• Realice:
• En la carpeta checklist tiene varios checklist para varios
sistemas
• En la carpeta Best Practices tiene varios documentos
con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?
• Escriba un Checklist breve para Windows
• Escriba un Checklist breve para Linux
Auditoría de Seguridad Informática

Ejercicio - Buena practicas
• Una vez que ha identificado las diferencias entre un
checklist y una buena practica
• Escriba (en breve) una buena practica para el uso de
redes sociales
• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de
una laptop de su organización
• Alemnos 5 puntos o recomendaciones

Auditoría de Seguridad Informática

Integrando un equipo de auditoría
• La organización de un equipo auditor requiere de un orden
jerárquico que garantice el flujo de la información
• La división del trabajo en relación con las funciones que
tienen que cumplir
• Coordinador general
• Experiencia en el manejo de proyectos y trato con clientes
• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto
• Es el enlace entre la coordinación, la organización y el equipo de
auditoría

• Asistente o analista de proyecto
• Responsable de atender directamente a todo el personal que
interviene en la auditoría
• Encargado de documentar los hallazgos, evidencias y observaciones
Auditoría de Seguridad Informática

Mantenimeinto de la experiencia
• Es importante que los auditores mantengan su
competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación
sobre nuevas técnicas de auditoría y áreas de
tecnología.

• El auditor debe de mantener su competencia técnica a
través de una educación profesional continua.
• Durante la planificación de la auditoría, se deben de
tomar en cuenta las habilidades y los conocimientos
de los auditores, y se asigne al personal para tareas
especificas de auditoría.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Proceso de Auditoría

Auditoría de Seguridad Informática

Determinando qué auditar
• Comúnmente el alcance de la auditoría define como el
¿Qué? de una auditoría.
• Cuando estamos definiendo nuestro alcance, no
debemos distraernos con el ¿Cómo?.
• El cómo, o mas específicamente, como vamos a medir o
auditar algo, es el detalle de algo que haremos en el
futuro en nuestro proceso de auditoría.
• El auditor realizará una investigación después de definir
qué es lo que va a auditar, para determinar el cómo (y
en ocasiones averiguar si es posible) auditar lo
contenido en el alcance.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Supongamos que tenemos que auditar el firewall de
una organización
“Para cumplir con los objetivos de mi auditoría de este
firewall, voy a revisar las reglas de filtrado para
asegurarme que estén bloqueando el tráfico malicioso,
anómalo o algún ataque”.
• Esto suena bien, pero no es suficiente.

Auditoría de Seguridad Informática

El Qué vs el Cómo
• Si el auditor simplemente revisa las reglas del firewall,
realmente no sabrá si el firewall esta protegiendo o no
a la organización.
• Lo único que sabrá, será si las reglas listadas por el
firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del
que sus reglas dicen?
• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo
que hace el firewall en papel. ¿Cómo sabemos que esta
configuración cumple con las políticas de la
organización? Tenemos que validar el firewall.
Auditoría de Seguridad Informática

El Qué vs el Cómo
• Cuando decimos que un firewall ha sido “validado”
estamos diciendo que, no solo revisamos las reglas
del firewall en busca de algún error
• También realizamos pruebas sobre el firewall
• Enviando tráfico valido y no valido a través del firewall para
validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como
auditores, cabe la posibilidad de que nos encontremos
con un problema el cual no sabremos resolver
• p.e. auditar algún sistema del cual no tenemos
experiencia

Auditoría de Seguridad Informática

El Qué vs el Cómo
• En casos como este, es muy común que en lugar de
encontrar una forma de medir el ¿Qué?, cambiamos el
¿Qué? por algo que sepamos “Como” auditar.
• Mientras que esto nos permitirá terminar la auditoría,
es muy peligroso.
• Cuando cambiamos el “Que” es muy posible que nos
estemos cegando a nosotros mismos de los riesgos que
buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el
“Como” después”
Auditoría de Seguridad Informática

Análisis de riesgos
• Es el estudio de las causas de las posibles amenazas, y
los daños y consecuencias que éstas puedan producir.
• El proceso de análisis y evaluación de riesgos incluye:
• La selección de un método de análisis y evaluación de riesgo
el cual deberá ser adecuada para los requisitos identificados
de seguridad de la información, legales y regulatorios.
• Determinación de los criterios determinantes para aceptar los
riesgos e identificar los niveles aceptables de riesgo.
• Identificación, análisis evaluación de los riesgos.
• Evaluación de opciones para el tratamiento del riesgo,
selección de objetivos de control y controles para reducir los
riesgos a niveles aceptables.
Auditoría de Seguridad Informática

Análisis de riesgos
• El resultado de un análisis y evaluación de riesgos
contribuye para que la organización pueda:
• Determinar las acciones y prioridades adecuadas para
el tratamiento con el fin de gestionar los riesgos a la
seguridad de la información.

Auditoría de Seguridad Informática

Proceso de análisis y evaluación del
riesgo

Auditoría de Seguridad Informática

Caracterización del sistema
• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son
identificados, junto con los recursos y la información
que constituyen el sistema.
• Establece el alcance del esfuerzo de evaluación de
riesgos
• Obtener información (por ejemplo, el hardware,
software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales
para la definición del riesgo.

Auditoría de Seguridad Informática

Identificación de amenazas
• Una amenaza es la posibilidad aprovechar una
vulnerabilidad para causar algún daño.
• Una vulnerabilidad es una debilidad que puede ser
explotada accidental o intencionalmente.
• Para determinar la probabilidad de una amenaza, se
debe considerar la fuente de amenaza, los posibles
puntos vulnerables y los controles existentes.
• El objetivo de este paso es identificar las fuentes
potenciales de amenaza, así como la identificación de
las amenazas aplicables al activo en cuestión.

Auditoría de Seguridad Informática

Identificación de las vulnerabilidades
• El objetivo de este paso es desarrollar una lista de las
vulnerabilidades del sistema (defectos o puntos
débiles) que podrían ser explotados por las fuentes
potenciales de amenaza.

Auditoría de Seguridad Informática

Análisis de control
• Es analizar los controles que se han implementado, o
están previstos para su aplicación, por la organización
• Para minimizar o eliminar la posibilidad (o probabilidad)
de que una amenaza aproveche una vulnerabilidad y se
afecten activos de la organización.

Auditoría de Seguridad Informática

Determinación de probabilidad
• En esta etapa se determina cual es la probabilidad de
que una amenaza aproveche una vulnerabilidad y
como consecuencia se afecten los activos de la
organización.
• Para la determinación de la probabilidad se deberán
considerar:
• Motivo y capacidad de la fuente de amenaza
• La naturaleza de la vulnerabilidad
• Existencia y eficacia de los controles actuales

Auditoría de Seguridad Informática

Análisis de impacto
• Determina los efectos adversos resultantes por la
explotación de la vulnerabilidad.
• Antes de dar inicio al análisis de impacto es necesario
obtener información relacionada con la misión del
activo dentro del proceso, que sistemas o información
crítica es utilizada y el grado de sensibilidad de la
misma.

Auditoría de Seguridad Informática

Determinación del riesgo
• El objetivo de este paso es evaluar el nivel de riesgo
una vez identificada las amenazas y las
vulnerabilidades. La determinación del riesgo para una
particular amenaza/vulnerabilidad puede ser
expresada en función de:
• La probabilidad de que una amenaza pueda aprovechar
una vulnerabilidad.
• La magnitud del impacto de que una amenaza haya
aprovechado una vulnerabilidad y el ataque haya
resultado exitoso.
• La efectividad de los controles existentes para reducir o
eliminar el riesgo.
Auditoría de Seguridad Informática

Recomendaciones de control
• Se proporcionan los controles que podrían mitigar o
eliminar los riesgos identificados y que puedan afectar
la operación de la organización.
• Los siguientes factores deben ser considerados en la
recomendación de los controles y las soluciones
alternativas para minimizar o eliminar los riesgos
identificados:
• Eficacia de las opciones recomendadas (por ejemplo, la
compatibilidad del sistema)
Legislación y regulación
• Política de la organización
• Impacto operativo
• Seguridad y fiabilidad

Auditoría de Seguridad Informática

Documentación de resultados
• Una vez que la evaluación del riesgo ha sido
completado (amenazas y vulnerabilidades
identificadas, los riesgos evaluados y los controles
identificados), los resultados deben estar
documentados en un informe.

• Un informe de evaluación de riesgos es un documento
de gestión que ayuda a la alta dirección, los
propietarios de la misión a tomar decisiones sobre la
política, los procedimientos, el presupuesto y los
cambios requeridos.

Auditoría de Seguridad Informática

Metodologías de análisis de riesgos
• Actualmente existen numerosas metodologías y
herramientas para la gestión del riesgo
• Octave
• NIST (800-30)

• FRAP
• COBRA
• RISK Watch

Auditoría de Seguridad Informática

Etapas de una auditoría
• Una metodología de auditoría debe ser establecida y
aprobada por la gerencia de auditoría para lograr
consistencia en el enfoque de la misma.
• Esta metodología se debe formalizar y comunicar a
todo el personal de auditoría.
• El auditor generalmente seguirá un curso de acción,
pasos secuenciales del programa de auditoría para
obtener un entendimiento de la entidad que esta
auditando.
• A continuación se enumeran los pasos de una
auditoría típica
Auditoría de Seguridad Informática

Etapas de una auditoría
1. Sujeto de auditoría
•

Identificar el área que será auditada

2. Objeto de auditoría
•

Identificar el propósito de la auditoría. por ejemplo, un
objetivo podría ser determinar si los cambios del código
fuente del programa ocurren en un ambiente bien definido y
controlado.

3. Planificación
• Identificar habilidades y recursos técnicos necesarios
• Identificar las fuentes de información para prueba o revisión
tales como flujogramas, políticas, estándares,
procedimientos y papeles de trabajo de auditorías anteriores.
• Identificar las localidades o instalaciones que serán
auditadas
Auditoría de Seguridad Informática

Etapas de una auditoría
4. Procedimiento de auditoría y recolección de
información
• Identificar y seleccionar el enfoque de auditoría para
verificar y comprobar los controles.
• Identificar una lista de individuos que serán
entrevistados.
• Identificar y obtener las políticas, estándares y
directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría
para probar y verificar el control.

Auditoría de Seguridad Informática

Etapas de una auditoría
5. Evaluación de los resultados de la auditoría
• Interno de la organización

6. Comunicación con la gerencia
• Interno de la organización

7. Preparación del reporte de auditoría
• Identificar los procedimientos de seguimiento de la
revisión

• Identificar los procedimientos para evaluar/Probar la
eficiencia y efectividad operacional
• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas
y procedimientos.

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática
Tecnicas de auditoría

Auditoría de Seguridad Informática

PLANES DE CONTINUIDAD DEL
NEGOCIO
Auditoría de Seguridad Informática

Plan de continuidad
• El objetivo de un plan de continuidad de negocio (BCP por sus siglas
en inglés Business Continuity Plan) es coordinar la recuperación de
las funciones críticas de la organización en caso de que se presente
la interrupción de procesos o alguna contingencia
• Puede incluir contingencias de corto y largo plazo, tales como
incendios, inundaciones, terremotos, explosiones y otros desastres
naturales (considerados en el Plan de Recuperación de Desastres)
• Causados por el hombre como huelgas, terrorismo, además de la
suspensión de actividades por periodo vacacional.
•
•
•
•

Las prioridades en una contingencia son:
Garantizar la seguridad de los empleados y visitantes a las instalaciones.
Mitigar los riesgos o limitar el daño que las amenazas puedan causar.
Tener planes y procedimientos documentados para garantizar que se
ejecuten de manera rápida y efectiva las estrategias de recuperación de
los procesos críticos de la organización.

Auditoría de Seguridad Informática

Plan de continuidad
• Puntos importantes que debe contener un Plan de
Continuidad del Negocio:
• Identificar la misión y las funciones críticas del negocio.
• Identificar los recursos que soportan las funciones
críticas identificadas.
• Identificación de las posibles acciones acciones
• Selección de las estrategias que serán incluidas en el
plan de continuidad.

• La implementación de las estrategias de para las
contingencias.
• Realizar pruebas y evaluaciones de la efectividad de las
estrategias establecidas.
Auditoría de Seguridad Informática

PLANES DE RECUPERACIÓN DE
DESASTRES
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres (DRP por sus
siglas en inglés Disaster Recovery Plan) ofrece un
estado de disponibilidad de los sistemas y recursos
• Permite que el personal pueda responder ante la
ocurrencia de algún desastre
• Desastre: cualquier evento que pueda causar una
interrupción significativa en las capacidades de
procesamiento operacional y/o computacional por un
periodo de tiempo, el cual afecte la operación de la
organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• El Plan de Recuperación de Desastres debe desarrollarse
para lograr los siguientes objetivos:
• Limita la magnitud de cualquier pérdida mediante la
reducción del tiempo de interrupción de los servicios y
aplicaciones críticas.
• Evaluar los daños, su reparación y dar inicio a las acciones
requeridas para la recuperación de las actividades, así como
la adecuación del sitio alterno.
• Recuperar los datos y la información imprescindible para el
funcionamiento de las aplicaciones crítico.
• Administrar la operación de recuperación de una manera
organizada y eficaz.
• Preparar al personal de tecnología para responder con
eficacia ante una situación de desastre para actuar sobre el
proceso de recuperación.
Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Con el DRP la organización tiene la responsabilidad
de responder a cualquier interrupción a corto o largo
plazo de sus servicios
• Razón por la cual el desarrollo, documentación e
implementación del Plan de Recuperación de
Desastres, permitirá la restauración de la
disponibilidad de las aplicaciones críticas
• En forma oportuna y organizada ante una situación de
desastre que afecte las instalaciones y recursos con los
que opera la organización.

Auditoría de Seguridad Informática

Plan de recuperación de desastres
• Puntos importantes que debe incluir un Plan de Recuperación
de Desastres:
•
•
•
•
•
•
•
•
•
•

Propósito
Alcance
Responsabilidades
Distribución
Equipos que intervienen en la recuperación y las
responsabilidades asociadas
Descripción de las acciones a realizar ante una situación de
desastre
Escenarios de recuperación (interrupción prolongada de
electricidad, inundación, sismo/terremoto, incendio, desastre total)
Descripción del sitio alterno ( en caso de que la organización
cuente con ello)
Directorios ( con la información de todo el personal )
Inventarios de la organización
Auditoría de Seguridad Informática

REDES
Auditoría de Seguridad Informática

Auditoría de Redes
• La diferencia entre un hacker y un consultor de
seguridad son los permisos.
• Antes de iniciar cualquier escaneo o pruebas de
vulnerabilidades es necesario solicitar permiso de
algún jefe superior.
• Identificar los tipos de escaneos se realizarán además
del tipo de información que se estará buscando y por
último las fechas programadas para ejecutar las
pruebas.
• Un permiso por escrito protege a la compañía y al
auditor.
Auditoría de Seguridad Informática

Auditoría de Redes
• Es importante definir además el rango de dispositivos
que serán verificados.
• Además es necesario considerar que las pruebas que
se realicen sean fuera de los horarios de oficina pues
la falta de algún servicio de red puede repercutir en la
producción de la empresa.

Auditoría de Seguridad Informática

Consideraciones antes de iniciar
• Permisos y acuerdos firmados (entre cliente y
nosotros)
• Planea el escaneo
• Un rango de direcciones a la vez

• Escribe una politica
• Si no hay una politica de seguridad de la red, escribela
• Que contenga una parte de las uditorías recurrentes de la red
• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría
días antes de la misma

• Obten permisos
• Obten un permiso firmado por elAuditoría
clientede Seguridad Informática

Consideraciones
• Informa de la auditoría
• La comunicación es clave
• Los resultados serán mejores
• Daras tiempo para que los administradores instalen parches
• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a
los administradores

• Comunicación, comunicación y mas comunicación
• Imagina que realizas una auditoría de una red con
• Firewalls
• IDS
• IPS
• Lanzaras muchas alertas
• Pondrás a correr a varios administradores de manera innecesaria
• Amenos que estes auditando su tiempo de respuesta ante
incidentes

Auditoría de Seguridad Informática

Consideraciones
• Debes estar presente todo el tiempo
• Antes, durante y después
• Si dejas alguna herramienta corriendo toda la noche
• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente
• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones
• Ve con la administración y la dirección para indicar
• Riesgos
• Cómo asegurar la red o sistemas

Auditoría de Seguridad Informática

Ejercicio
• En ubuntu linux 10.04
• Instalar nmap
• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS
• nmap –sS –P0 –p 1-65535 RANGO_IPS
• -sS (Solo puertos TCP)
• -P0 asumir que cualquier IP esta “viva”
• RANGO_IPS ej. 192.168.1.0/24
• Probar con las opciones
• -sV
• -O
• -sU

• ¿Qué sistemas operativos hay en la red?
• ¿Qué servicios operan sobre la red?
• Que versiones tienen?
Auditoría de Seguridad Informática

Redes Inalámbricas
• Cuando se realizará una auditoría en redes
inalámbricas se inicia identificando los dispositivos
móviles.
• En muchas organizaciones se hace especial énfasis
en los Access Point (APs). Sin embargo, es necesario
considerar otras redes inalámbricas como el Bluetooth
• Es muy importante tener disponible en todo momento
un inventario de APs autorizados, ya que en las redes
inalámbricas un usuario puede instalar y configurar un
Access Point con lo que usuarios externos pueden
tener un potencial acceso a los recursos de la red
corporativa.
Auditoría de Seguridad Informática

Wireless
• Existen dos caminos para realizar una auditoría en los
Access points disponibles.
• Se podría hacer del lado inalámbrico, esto consistiría en
caminar sobre todo el entorno e identificar cualquier
dispositivo inalámbrico disponible. Herramientas como
NetStumbler y Kismet pueden ser usadas para este tipo
de evaluación.
• Otra opción es del lado de los cables o alámbrico, para
este caso Nessus podría ser muy útil.

Auditoría de Seguridad Informática

Checklist de Redes inalambricas
• A continuación se darán una lista de preguntas que el
auditor deberá tener presentes al estar realizando la
auditoría de redes.
• ¿Existe una política de seguridad en las redes WLAN?
• ¿Existe una política de configuración base?
• ¿Se ha realizado una evaluación de riesgos en el
entorno de la red?
• ¿Los APs se encuentran físicamente seguros?
• ¿Existe una apropiada capacitación para los
administradores?
• ¿Cuál es la arquitectura del entorno de la WLAN?
• ¿Qué tecnología de redes inalámbricas está siendo
usada?
Auditoría de Seguridad Informática

Checklist de redes inalambricas
• ¿Los clientes deben autenticarse a las estaciones base?
• ¿Las configuraciones por default de fábrica, como
contraseñas y SSID han sido cambiadas?
• ¿Con qué regularidad se cambian las contraseñas y las
llaves de cifrado?
• ¿El equipo está realizando broadcast del SSID?
• ¿La información y datos son cifrados?
• ¿Las conexiones que se realizan son registradas?
• ¿Existen bitácoras que son revisadas regularmente para
encontrar intentos de conexiones no autorizados?
• ¿Existe un procedimiento para mantener a los usuarios,
darlos de alta o baja?
• ¿Los clientes están correctamente configurados con un
Firewall personal?
Auditoría de Seguridad Informática

Ejercicio
• Solo para clientes inalambricos
• Utilizar Kismet o netumbler para identificar las redes
alrededor, identificar
• BSSID
• SSID
• Cifrado
• Canal
• Clientes
• Señal

Auditoría de Seguridad Informática

Bluetooth
• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez
requieren un ancho de banda muy pequeño.
• La velocidad de transferencia del Bluetooth es muy
baja, aproximadamente 725 Kb/s
• Lo que la hace una opción muy mala para que pueda
golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica,
y por lo tanto, es necesario ser consientes con
respecto a su seguridad.

Auditoría de Seguridad Informática

Bluetooth
• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un
objetivo
• Bluesnarfing. Es el robo de información en teléfonos.
Si un teléfono con Bluetooth es descubierto por un
atacante dentro de un rango apropiado, el atacante
puede crear una conexión lo que le permite descargar
información (calendario y lista de contactos), así como
también las fotos de los igualmente pueden ser
descargadas.

Auditoría de Seguridad Informática

Bluetooth
• Lo difícil complicado para un intruso en el
Bluesnarfing es que debe estar a lo más a 10 metros
de distancia del objetivo por un periodo corto de
tiempo
• La recomendación para evitar este tipo de ataques es
configurar el dispositivo como “no visible”
(undiscoverable) o apagar completamente el
Bluetooth.

Auditoría de Seguridad Informática

Bluetooth
• Las herramientas más populares para realizar
pruebas de auditoría en dispositivos con Bluetooth son
las siguientes:
• Bluez. El proyecto Bluez mantiene la implementación
de las especificaciones de los estándares en
dispositivos inalámbricos Bluetooth para Linux
• OpenOBEX. Es una implementación de código libre
del protocolo OBEX (Object Exchange). OBEX es
utilizado en redes Ad-hoc para intercambiar objetos
como archivos, imágenes, entradas de calendario
(vCal), tarjetas de negocios (vCard), etc.

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS
WINDOWS
Auditoría de Seguridad Informática

Checklist para sistemas Windows
• ¿El sistema tiene un antivirus actualizado?
• ¿El sistema tiene un firewall configurado?
• ¿Se ejecutan actualizaciones para TODO el software de
manera periodica?
• ¿Qué servicios operan sobre el sistema?
• ¿Qué puertos ofrecen un servicio hacia la red?
• ¿Existen cuentas de invitado activas?
• ¿Las contraseñas son fuertes?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
• ¿Existe una configuración que obliga a cambiar las
contraseñas de manera frecuente?
Auditoría de Seguridad Informática

Auditoría de sistemas Windows
• Identificación del sistema

Auditoría de Seguridad Informática

Identificación del sistema
• msinfo32

Auditoría de Seguridad Informática

Identificación del sistema
• Pstools de Microsoft
• http://technet.microsoft.com/enus/sysinternals/bb896649.aspx

• psinfo

Auditoría de Seguridad Informática

Parches, fechas de instalación, arranque, etc
• systeminfo

Auditoría de Seguridad Informática

Aplicaciones, y sus actualizaciones
• psinfo –h –s –d
• Sistemas de
archivos

Auditoría de Seguridad Informática

Microsoft Baseline Security Status
• Herramienta libre de Microsoft
• Realiza verificaciones varias verificaciones de seguridad
en sistemas windows, incluso en
• ISS
• SQL Server
• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario,
pero útil

• http://technet.microsoft.com/esmx/security/cc184924.aspx

Auditoría de Seguridad Informática

MBSA

Auditoría de Seguridad Informática

Ejercicio
• Obtenga la información general de su sistema
operativo Windows con las herramientas
• psinfo
• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?
• No descarte ninguna
• ¿Podrá instalar un MBSA en un equipo del cliente?
• La mayoría de las ocaciones no

Auditoría de Seguridad Informática

MBSA - Configuración

Auditoría de Seguridad Informática

MBSA - Escaneo

Auditoría de Seguridad Informática

MBSA – Resultados (resumen y
actualizaciones)

Auditoría de Seguridad Informática

MBSA – Vulnerabilidades administrativas

Auditoría de Seguridad Informática

MBSA – How to fix

Auditoría de Seguridad Informática

MBSA – Información adicional

Auditoría de Seguridad Informática

MBSA – Reportes guardados

Auditoría de Seguridad Informática

Servicios innecesarios
• Muchos servicios son instalados desde la instalación,
pero no son necesarios para la operación
• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener
vulnerabilidades
• Servicios sin utilizar pueden no estar actualizados
• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un
compromiso por malware

Auditoría de Seguridad Informática

¿Cómo checo los servicios?
• Ejecute mmc en la consola
• Archivo->Agregar o quitar complementos
• Servicios->Agregar

Auditoría de Seguridad Informática

Servicios
• psservice | more

Auditoría de Seguridad Informática

Programas y servicios
• tasklist

Auditoría de Seguridad Informática

Politica de contraseñas
• net accounts

Auditoría de Seguridad Informática

Scripts de inicio
• Autoruns
• Tambien puede listar
• Tareas programadas
• Add-ins de Internet Explorer
• Llaves del registro

Auditoría de Seguridad Informática

Ejercicio
• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema
• Utilice todas las herramientas aquí listadas
• Recuerde que:
• Un Baseline es un estado conocido de un sistema.
• Este estado debe ser seguro, de manera que el auditor pueda
confiar en la integridad del mismo.
• A lo largo del tiempo el auditor mide que tanto difiere la
configuración del sistema con el Baseline inicial.
• Continua…..

Auditoría de Seguridad Informática

Ejercicio
• Intercambien lugares
• Hagan cambios en la configuración del sistema
• Instalen software (no keyloggers)
• Cambien políticas

• Identifique que cambios a su baseline realizo su
compañero
• No se aceptan menos de 5 cambios diferentes

Auditoría de Seguridad Informática

SISTEMAS OPERATIVOS UNIX
Auditoría de Seguridad Informática

Identificación del sistema
• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución
Auditoría de Seguridad Informática
de Linux o el unix

Paquetes instalados
• dpkg –l
• Listado de paquetes instalados

Auditoría de Seguridad Informática

Paquetes instalados
• Archivos instalados por paquete
• dpkg –l PAQUETE

Auditoría de Seguridad Informática

Scripts de inicio
• /etc/rc.d
• /etc/init.d
• -/etc/rc*d
• * ejecute el comando
• runlevel
• Para identificar el nivel de ejecución de su linux

• /etc/rc.local
• /etc/inittab
• Ejemplo
• /etc/rc2.d/S20sshd
• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)
• 20 -> orden (siendo 1 el primero)
• Sshd -> nombre del servicio
Auditoría de Seguridad Informática

Puertos abierdos
• netstat –ant

• lsoft –i
• Procesos con un socket de red abierto
• Correlacione los resultados
• ¿Son iguales?

Auditoría de Seguridad Informática

Varios
• Usuarios con sesión abierta
• w

Auditoría de Seguridad Informática

Sistemas de archivos montados
• fdisk –l

Auditoría de Seguridad Informática

Memoria
• Free

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –aux
• Lista procesos con su uso de memoria

Auditoría de Seguridad Informática

Procesos en ejecución
• ps –fea
• Lista procesos con su PID y el PID de su padre (PPID)

Auditoría de Seguridad Informática

Variables del sistema
• /etc/sysctl.conf
• Reenvio de tráfico
de red
• Redirección de
tráfico de red

• Bitacora de
eventos
sospechosos

Auditoría de Seguridad Informática

Archivo passwd
• Información de
autenticación de usuarios
1. Usuario
2. Password
•
•

3.
4.
5.
6.
7.

Si el campo esta en
blanco, no hay contraseña
Si el campo tiene una X
significa que el password
esta cifrado en alguna
parte

User ID
Gruop ID
Nombre
Directorio Home
Shell
Auditoría de Seguridad Informática

Archivo Shadow
• Solo root puede leerlo
1. Usuario
2. Password
•

•

* o ! Significa que no se
puede iniciar sesión con ese
usuario
Cifrado con Sha-512

3. Ultima fecha de cambio
4. Politica de password
1.
2.
3.

4.

Tiempo minio de duración
Tiempo maximo de duración
Aviso de cambio de
password (Dias antes de que
expire)
Tiempo de tolerancia para el
cambio de password

Auditoría de Seguridad Informática

Buscando archivos SUID y SGID
• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd
• Significa que el ejecutable passwd va a tener permisos
del propietario (ROOT)
• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema,
dejara una shell con el SUID activado, para que cuando
regrese, tenga ese nivel de permisos

Auditoría de Seguridad Informática

Buscando archivos SUID
• Obteniendo una lista de todos los archivos SUID y
SGID
• Utilizamos el comando find
• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline

Auditoría de Seguridad Informática

Localizando archivos recien modificados
• Cree un archivo
• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación
• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda
• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha
• Todos los archivos regulares
• Mas recientes que el 22 de Abril del 2006

Auditoría de Seguridad Informática

Bitácoras de unix
• /var/run/utmp
• Un snapshot de la sesión actual

• /var/log/wtmp
• Historial de inicios y cierres de sesión

• /var/log/btmp
• Historial de fallos en el inicio de sesión

• /var/log/messages
• Mensajes del proceso de syslog

• /var/log/secure
• Acceso y autenticación
Auditoría de Seguridad Informática

Archivo utmp
• Contiene un snapshot de los usuarios actuales del
sistema
• Es consultado por los comandos
• finger
• who
• w
• users

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo wtmp
• Archivo binario

• Similar a utmp
• Utilizado por los comandos
• finger
• who
• last

• Contiene
• Nombre de usuario
• Terminal
• Fecha de inicio de sesión
• Equipo (remoto o local)
Auditoría de Seguridad Informática

Archivo btmp
• Registra los intentos fallidos de sesión
• Utilizado por el comando
• lastb

• Solo registra si existe el archivo

Auditoría de Seguridad Informática

crontabs
• /var/spool/cron, /var/cron, etc.
• Aquí residen los crontabs de los usuarios

• Crond
• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en
• Mes
• Semana
• Día
• Hora
• Minuto

Auditoría de Seguridad Informática

APLICACIONES
Auditoría de Seguridad Informática

Auditoría de aplicaciones
• Al preguntarle a cualquier investigador de seguridad
cómo es que éste descubre vulnerabilidades o fallas
en las aplicaciones, se pueden obtener infinidad de
respuestas
• En un nivel alto, existen tres aproximaciones
principales para descubrir las vulnerabilidades de
seguridad:
• Pruebas de caja blanca

• Pruebas de caja negra
• Pruebas de Caja gris

Auditoría de Seguridad Informática

Pruebas de caja blanca
• Las pruebas de caja blanca requieren acceso
completo al código fuente, las especificaciones de
diseño y quizá a los propios programadores.
• Las pruebas de caja blanca, no son posibles si no
tenemos acceso al código fuente de la objetivo.

• Ventajas
• Cobertura de código

• Desventajas
• Complejidad del código fuente
• Disponibilidad del código fuente

Auditoría de Seguridad Informática

Ventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Desventajas

Auditoría de Seguridad Informática

Ejercicio
• Vulnerabilidades en código en aplicaciones Web
• Una buena referencia es el Proyecto OWASP
• Proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se
centra sobre las vulnerabilidades más críticas de las
aplicaciones web.
• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de
código vulnerables
• Cuenta con guias de revisión de código
• http://www.owasp.org/index.php/OWASP_Code_Review_Guide
_Table_of_Contents
Auditoría de Seguridad Informática

Ejercicio
• CWE (Common Weakness Enumeration)
• Proyecto que provee una base de datos de
vulnerabilidades
• Cuenta con una lista de los 25 errores mas comunes de
los desarrolladores
• http://cwe.mitre.org/top25/index.html
• Buena referencia para aprender el “Como” auditar cierto tipo de
lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación
• http://cwe.mitre.org/top25/profiles.html#ProfileLang
• Observar que muchas vulnerabilidades son independientes del
lenguaje de programación
Auditoría de Seguridad Informática

Herramientas para la automatización
• Libres
• RATs
• http://www.fortify.com/security-resources/rats.jsp

• Yasca
• http://www.scovetta.com/yasca.html

• Comerciales
• Fortify Source Code Analysis
• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition
• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa
• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_ana
lysis
Auditoría de Seguridad Informática

Pruebas de caja negra
• Se tiene acceso de manera remota a las aplicaciones
y servicios Web.
• Se pueden elaborar entradas o peticiones en forma de
Lenguaje de marcado de hipertexto, de sus siglas en
inglés Hypertext Markup Language (HTML) o en
Lenguaje de marcado extensible (Extensible Markup
Language - XML) y observar la página Web generada
o el valor que se regresa, respectivamente, pero no se
tiene idea de lo que está sucediendo por debajo.
• No se tiene acceso al código fuente

Auditoría de Seguridad Informática

Ventajas
• Disponibilidad: Las pruebas de caja negra son
siempre aplicables incluso en situaciones cuando el
código fuente está disponible todavía pueden ser
beneficiosas.
• Reproducibilidad: una prueba de este tipo sobre un
Protocolo de transferencia de archivos (FTP), por
ejemplo, puede ser fácilmente reutilizada para probar
cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen
conocimiento del funcionamiento interno de la
aplicación.

Auditoría de Seguridad Informática

Desventajas
• Cobertura: Uno de los mayores retos con la prueba de
caja negra es determinar qué tan efectivas han sido
las pruebas.
• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir
múltiples vectores de ataque, algunos de los cuales
colocan la aplicación del objetivo en un estado
vulnerable y otros lanzan la explotación.
• Ataques como éstos requieren una sólida comprensión
de la lógica de la aplicación en prueba
• Por lo general, sólo son descubiertos con las auditorías de
código fuente
Auditoría de Seguridad Informática

Pruebas de caja gris
• Se requiere acceso a binarios compilados y quizá
alguna documentación básica de la aplicación
• Incluye un plus en la auditoría de caja negra
adicionando elementos a través de la ingeniería
inversa
• Se utiliza a menudo como sinónimo de la frase de
auditoría de binarios

• No es posible convertir un archivo binario de nuevo en
su representación original del código fuente
• La ingeniería inversa permite convertir parte del binario
en un formato legible
• Útil para la identificación de vulnerabilidades
Auditoría de Seguridad Informática

Herramientas
• Desemsambladores: convierten el binario en lenguaje
ensamblador, comprensible para el ser humano
• Desventajas
• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?

Auditoría de Seguridad Informática

Herramientas
• Decompiladores: convierte el binario en código fuente
(parcialmente), útil para obtener porciones de código
como:
• Decisiones (IF, IFELSE, ELSE)
• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso,
permitiendo su inspección conforme ejecuta cada
instrucción de código
• Olly DBG es libre y es el mas utilizado no solo para
pruebas de caja gris
• Generadores de llave (Keygen’s)
• Ingenieria inversa en general
Auditoría de Seguridad Informática

BASES DE DATOS
Auditoría de Seguridad Informática

¿Qué es SQL?
• Structured Query Language
• Lenguaje utilizado para obtener y actualizad información en
la estructura de una base de datos

• Manipulación de datos
•
•
•
•

Select
Update
Deletc
Insert into

• Definición de datos
•
•
•
•
•

Create table
Alter table
Dop table
Create index
Drop index
Auditoría de Seguridad Informática

Estructura de una base de datos

Auditoría de Seguridad Informática

Select
• Select from
where

Subdirección de Seguridad de la Información Auditoría de Seguridad Informática Introducción • Auditoría • La funcion de medir algo en comparación con un estándar • La.

Transcript Subdirección de Seguridad de la Información Auditoría de Seguridad Informática Introducción • Auditoría • La funcion de medir algo en comparación con un estándar • La.

Directory